安天实验室深度分析震网(Stuxnet)病毒

　　近日，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

　　Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

　　安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，对其持续跟踪，并第一时间发布深度分析报告(见文末扩展信息1)。截止至本文发布，安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

　　一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。

　　这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。

　　另一方面，在安天实验室捕获的样本中，有一部分实体的时间戳是今年3月。这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首次披露出来。这期间要控制漏洞不泄露，有一定难度。

　　因此，安天实验室推断攻击者具有雄厚的财力和研究能力。

　　在我国，WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。

　　Stuxnet带来的问题不只如此。一般来说，一种新的攻击方法、攻击思路和攻击目标出现，都会较长时间带来示范效应，导致今后攻击的重点从传统的信息网络向工业系统转移。

　　对于Stuxnet病毒的出现，安天实验室并未感到十分意外。早在去年，安天实验室就接受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。

　　扩展信息：

　　1. 安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告 ：

　　http：//www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm

　　2. 西门子公司就此次攻击给出的解决方案：

　　http：//support.automation.siemens.com/WW/llisapi.dll？func=cslib.csinfo&objid=43876783

　　3. 微软提供的补丁文件下载地址如下：

　　--RPC远程执行漏洞(MS08-067)

　　http：//www.microsoft.com/technet/security/bulletin/MS08-067.mspx

　　--快捷方式文件解析漏洞(MS10-046)

　　http：//www.microsoft.com/technet/security/bulletin/MS10-046.mspx

　　--打印机后台程序服务漏洞(MS10-061)

　　http：//www.microsoft.com/technet/security/bulletin/MS10-061.mspx

　　4. 西门子公司给出的WinCC系统安全更新补丁的下载地址：

　　http：//support.automation.siemens.com/

　　WW/llisapi.dll/csfetch/43876783/

　　SIMATIC_Security_Update_V1_0_0_11.exe？func=cslib.csFetch&nodeid=44473682

　　5. ATool管理工具下载地址：

　　http：//www.antiyfx.com/download/atool.zip